Błąd Crowdstrike Atak DDoS Microsoft
08/08/2024
7 min
0

Microsoft Downtime: Ryzyko Usług w Chmurze (Błąd CrowdStrike i Atak DDoS na Microsoft Lipiec 2024)

08/08/2024
7 min
0

Lipiec 2024 był burzliwym miesiącem w branży oprogramowania. Podczas gdy argumenty sprzedaży Microsoftu są głośniejsze niż kiedykolwiek, firma stanęła w obliczu znacznej krytyki z powodu przestojów kilku kluczowych systemów. W tym miesiącu doszło do wielu incydentów w Microsoft z daleko idącymi konsekwencjami. W tym artykule przyglądamy się bliżej dwóm głównym incydentom: aktualizacji CrowdStrike i atakowi DDoS na Microsoft 365 i Azure.

Błędna Aktualizacja CrowdStrike

W lipcu 2024 r. doszło do zakłóceń na dużą skalę z powodu wadliwej aktualizacji oprogramowania czujnika Falcon CrowdStrike. Ta aktualizacja, wydana 19 lipca, wprowadziła krytyczny błąd w postaci brakującej kontroli zerowej w kodzie. Spowodowało to, że system próbował uzyskać dostęp do nieprawidłowego adresu pamięci, co doprowadziło do słynnego „Blue Screen of Death” (BSOD) na milionach urządzeń Microsoft Windows na całym świecie. Społeczność globalna uznała to za skandal, ponieważ taka aktualizacja powinna być znacznie lepiej przetestowana przed wdrożeniem.

Wpływ Błędnej Aktualizacji CrowdStrike

Globalny Przestój

Zakłócenie miało globalny wpływ, powodując krytyczne zakłócenia w operacjach biznesowych, usługach zdrowotnych, liniach lotniczych, a nawet giełdach. Około 85 milionów urządzeń zostało dotkniętych aktualizacją. Czas wdrożenia o 04:09 UTC zapewnił, że zakłócenie dotknęło firmy podczas godzin pracy w Oceanii i Azji oraz wczesnego poranka w Europie i Ameryce.

Straty Finansowe

Specjalista ds. ubezpieczeń od przestojów w chmurze oszacował, że 500 największych amerykańskich firm poniosło straty w wysokości prawie 54 miliardów dolarów, z czego tylko od 540 milionów do 108 miliardów dolarów było ubezpieczone. Te 500 amerykańskich firm stanowi tylko niewielką część całkowitej liczby dotkniętych firm, co ilustruje znaczący wpływ finansowy zakłócenia na firmy na całym świecie.

Specyficzne Skutki dla Sektorów

  • Lotnictwo: Na całym świecie odwołano 5 078 lotów, co stanowiło 46% zaplanowanych lotów na ten dzień. Australijskie linie lotnicze, takie jak Qantas, Virgin Australia i Jetstar, zostały poważnie dotknięte, podobnie jak lotniska w miastach takich jak Sydney, Melbourne i Brisbane.
  • Opieka Zdrowotna i Operacje Biznesowe: Krytyczne systemy w szpitalach i innych placówkach medycznych zostały zakłócone, co poważnie wpłynęło na świadczenie usług. Firmy miały problemy ze swoją infrastrukturą IT, co prowadziło do obniżonej produktywności i wyzwań operacyjnych.

Próby Przywrócenia po Aktualizacji CrowdStrike

  • CrowdStrike: CrowdStrike uznał problem i wydał publiczne oświadczenie wraz z rozwiązaniem tymczasowym. Doradzali użytkownikom dotkniętym problemem ręczne usunięcie określonych plików z trybu awaryjnego lub środowiska odzyskiwania systemu Windows.
  • Microsoft: Microsoft współpracował z CrowdStrike i zewnętrznymi programistami, aby przyspieszyć rozwiązanie. Oferowali techniczne wskazówki i wsparcie, aby pomóc użytkownikom bezpiecznie przywrócić ich systemy. Obejmowało to ponowne uruchomienie dotkniętych maszyn wirtualnych do 15 razy i przywrócenie kopii zapasowej sprzed 18 lipca.

Obie rekomendacje były pracochłonne i nierealistyczne dla dużych firm.

Windows 11 banner

Atak DDoS na Microsoft 365 i Azure

30 lipca 2024 r. Microsoft został zaatakowany przez atak rozproszony odmowy usługi (DDoS) na dużą skalę, co spowodowało przestoje różnych usług Microsoft 365 i Azure na całym świecie. Atak trwał około dziewięciu godzin i spowodował znaczne zakłócenia w usługach Microsoft Entra, Microsoft Purview, Azure App Services, Application Insights, Azure IoT Central i portalu Azure.

Szczegóły Ataku DDoS

Wektor Ataku

Atak DDoS był wymierzony w warstwę aplikacji (Layer 7) modelu OSI, co oznacza, że atak miał na celu specyficznie zakłócenie usług aplikacji internetowych Microsoft. Atakujący używali różnych technik, takich jak powodzie HTTP(S), obejścia pamięci podręcznej i ataki Slowloris, aby przytłoczyć serwery i zakłócić normalne działanie.

Atakujący

Microsoft zidentyfikował sprawcę zagrożenia jako Storm-1359, grupę podejrzewaną o bycie pro-rosyjską i możliwie związaną z grupą hacktywistów Anonymous Sudan. Grupa ta wcześniej przeprowadzała ataki na organizacje w Szwecji, Holandii, Australii i Niemczech. Ich ataki wykorzystują kolekcję botnetów, wynajętą infrastrukturę w chmurze i otwarte proxy do przeprowadzania ataków.

Wpływ Ataku DDoS na Microsoft 365 i Azure

Globalny Przestój

Atak miał globalny wpływ, użytkownicy na całym świecie zgłaszali problemy z dostępem do swoich usług Microsoft 365 i Azure. Dotknięte usługi obejmowały krytyczne aplikacje biznesowe, takie jak Intune, Power BI i Power Platform, co prowadziło do powszechnych zakłóceń operacyjnych dla firm polegających na tych usługach.

Odpowiedź Microsoft

Początkowa odpowiedź Microsoftu na atak wydawała się zaostrzać wpływ, zamiast go łagodzić. Błąd w implementacji ich mechanizmów ochrony DDoS spowodował, że obrona wzmocniła atak. To prowadziło do dodatkowych przestojów i opóźnień. Microsoft ostatecznie dokonał zmian w konfiguracji sieci i failoverów na alternatywne trasy sieciowe, aby zapewnić ulgę. Więcej na ten temat przeczytasz dalej w tym artykule.

Próby Przywrócenia po Ataku DDoS

Rozwiązania Techniczne

Aby zapobiec dalszym zakłóceniom, Microsoft dostosował ustawienia swojego zapory aplikacji internetowych Azure (WAF). Doradzili również klientom wdrożenie ograniczeń geograficznych w celu ograniczenia ruchu przychodzącego i zminimalizowania wpływu przyszłych ataków. Ponadto Microsoft potwierdził, że nie ma dowodów na to, że dane klientów zostały dostępne lub skompromitowane podczas tych ataków.

Perspektywy i Ulepszenia

Microsoft ogłosił, że w ciągu 72 godzin zostanie opublikowany wstępny raport po incydencie (Preliminary Post-Incident Review PIR) i raport końcowy po incydencie w ciągu dwóch tygodni. Te raporty zawierać będą więcej szczegółów i lekcji wyciągniętych z zakłóceń w tym tygodniu. Microsoft nadal ocenia i ulepsza swoje mechanizmy bezpieczeństwa, aby zmniejszyć wpływ takich ataków w przyszłości.

Wnioski dotyczące Ataków DDoS

Atak DDoS na Microsoft 365 i Azure w lipcu 2024 r. podkreśla zagrożenie cyberatakami dla głównych dostawców usług w chmurze. Incydent podkreśla znaczenie środków bezpieczeństwa i szybkich, skutecznych strategii reagowania w celu zminimalizowania wpływu takich ataków. Doświadczenie Microsoftu pokazuje, że nawet największe firmy technologiczne są wrażliwe i muszą stale pracować nad wzmocnieniem swoich obron przed coraz bardziej wyrafinowanymi zagrożeniami cybernetycznymi. Straciłeś zaufanie do gwarancji bezpieczeństwa Microsoftu, jak wielu innych? Zalecamy kontynuowanie korzystania z oprogramowania on-premise w celu zapewnienia bezpieczeństwa Twojej firmy i wszystkich jej danych. Odkryj naszą ofertę licencji on-premise, takich jak Windows Server 2022, SQL Server 2022 i Office 2021.

Windows Server 2022 banner

Co Możesz Zrobić Przeciwko Tym Zagrożeniom Online i Niepewności? Przejmij Kontrolę

W świetle ostatnich incydentów z CrowdStrike i atakiem DDoS na Microsoft 365 i Azure rośnie dyskusja na temat korzyści płynących z oprogramowania on-premise w porównaniu z rozwiązaniami opartymi na chmurze. Oto kilka powodów, dla których firmy mogą rozważyć przejęcie kontroli, wybierając oprogramowanie on-premise:

  1. Zarządzalność i Kontrola
    • Dzięki oprogramowaniu on-premise firmy mają pełną kontrolę nad swoim środowiskiem IT. Oznacza to, że nie są zależne od zewnętrznych dostawców w zakresie aktualizacji, poprawek bezpieczeństwa lub naprawiania błędów. W przypadku błędu CrowdStrike z lipca 2024 r. dotknięte firmy potrzebowały fizycznego dostępu do swoich maszyn przez kilka dni, aby ręcznie naprawić błąd. Tego rodzaju zależność można uniknąć dzięki rozwiązaniom on-premise, w których zespoły IT mogą bezpośrednio interweniować i szybciej reagować na problemy.
  2. Bezpieczeństwo i Ochrona Danych
    • Atak DDoS na Microsoft 365 i Azure pokazał, jak podatne mogą być usługi oparte na chmurze na cyberataki. Systemy on-premise mogą być projektowane z określonymi protokołami bezpieczeństwa dostosowanymi do unikalnych potrzeb firmy. Ponadto dane wrażliwe mogą być przechowywane wewnętrznie, co zmniejsza ryzyko wycieku danych z powodu zagrożeń zewnętrznych.
  3. Niezawodność i Dostępność
    • Chociaż dostawcy chmury często gwarantują wysoką dostępność, incydenty takie jak atak DDoS mogą powodować długotrwałe przestoje, co skutkuje utratą produktywności i przychodów. Systemy on-premise mogą być projektowane i utrzymywane redundantnie, aby zapewnić ciągłość działalności nawet podczas awarii internetowych lub zewnętrznych ataków.
  4. Dostosowanie i Elastyczność
    • Oprogramowanie on-premise oferuje firmom elastyczność dostosowywania swojej infrastruktury IT do specyficznych potrzeb biznesowych. Rozwiązania chmurowe są często standaryzowane i mogą nakładać ograniczenia na dostosowywanie. Firmy mogą optymalizować swoje systemy on-premise w celu lepszej wydajności i integracji z istniejącymi aplikacjami i procesami.
  5. Długoterminowe Zarządzanie Kosztami
    • Chociaż rozwiązania chmurowe często wydają się atrakcyjne ze względu na niższe koszty początkowe, powtarzające się opłaty abonamentowe i dodatkowe koszty za przepustowość, przechowywanie i bezpieczeństwo mogą się sumować. Rozwiązania on-premise wymagają wyższej początkowej inwestycji, ale mogą być bardziej opłacalne w dłuższej perspektywie, zwłaszcza dla dużych przedsiębiorstw z dużymi potrzebami IT.

Wnioski

Pewność oprogramowania on-premise i wybór własnego bezpieczeństwa sprawiają, że Windows Server 2022 i SQL Server 2022 są rozwiązaniem do omijania wad zabezpieczeń w chmurze. Wiele firm odkrywa wady rozwiązań chmurowych i stwierdza, że trudno jest wrócić do oprogramowania on-premise. To jest sprytnie zrobione przez Microsoft, ponieważ czerpią więcej korzyści z miesięcznych subskrypcji Azure, Microsoft 365 i innych modeli płatności za użytkowanie/subskrypcji. Jeśli nadal chcesz eksperymentować z rozwiązaniami chmurowymi, zdecydowanie zalecamy wcześniejsze rozważenie bezbłędnej strategii wyjścia z chmury, abyś nie został zaskoczony, jeśli zdecydujesz się przejść na on-premise.

Comments